tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWS設定比較
約11分
上級+
8/10
2025年7月20日

AWS SCS-C02 対策 KMS カスタマー管理キー vs AWS管理キー

AWS KMSのカスタマー管理キーとAWS管理キーの使い分けを、制御レベル×監査要件×コンプライアンス要件の3軸で判断する。規制業界や一元管理が必要な場面での適切な選択肢を実践問題で完全攻略。

この記事のポイント

  • 1
    制御レベル×監査要件×コンプライアンス要件の3軸判断法をマスターする
  • 2
    規制業界でのKMSキー選択基準を理解する
  • 3
    複数サービス横断での一元化要件の判断ポイントを把握する

目次

3軸判断法:適切な選択を導く思考プロセス

KMSキーの選択を適切に行うには、3つの軸で体系的に判断することが重要です。この判断法により、複雑な要件や規制対応が必要な場面でも迷うことなく適切な選択肢を導き出せます。

軸1:制御レベル

キーのライフサイクル、ポリシー、ローテーションを企業が制御する必要があるか

軸2:監査要件

キーの使用状況を詳細に監査・追跡する必要があるか

軸3:コンプライアンス要件

規制要件や業界標準に準拠する必要があるか

カスタマー管理キー vs AWS管理キー

資格試験では、各キータイプの制御範囲コスト管理複雑性の違いを正確に理解することが重要です。特に、カスタマー管理キーは完全制御だが管理コストが発生、AWS管理キーは制御制限があるが運用が簡潔、という特徴を押さえておきましょう。

カスタマー管理キー

キー制御
完全制御(ポリシー、ローテーション、削除)
コスト
$1/月 + API呼び出し料金
監査
詳細なCloudTrailログ
複数サービス利用
可能(同一キーで統一)
キーローテーション
手動 or 自動(年次)
キーインポート
可能(既存キー持込)
主な適用場面
規制対応、一元管理、詳細制御

AWS管理キー

キー制御
制限あり(AWSが管理)
コスト
API呼び出し料金のみ
監査
基本的な使用ログ
複数サービス利用
サービス別キー
キーローテーション
AWS自動(3年周期)
キーインポート
不可
主な適用場面
基本暗号化、シンプル運用

選択基準とキーワード判別法

実際の運用では、要件に現れる特定のキーワードから適切なキータイプを瞬時に判断することが重要です。以下の基準により、適切な選択を行うことができます。

カスタマー管理キーを選ぶべき場面

以下のキーワードや要件が問題文に現れた場合、カスタマー管理キーが適切な選択肢となります:

規制・コンプライアンス関連

金融業界やヘルスケア業界では、規制当局が暗号化キーの完全な制御を要求するため、カスタマー管理キーが必須となります。

制御・管理関連

複数のAWSサービスで統一キーを使用したい場合や、キーのライフサイクルを企業が直接制御する必要がある場合に適用されます。

既存資産活用

オンプレミスの既存キーをAWSに持ち込む必要がある場合や、外部キー管理システムとの統合が必要な場合に選択されます。

詳細監査要件

キーの使用状況を詳細に追跡し、包括的な監査ログが必要な場合に適用されます。

AWS管理キーで十分な場面

以下のキーワードや要件が問題文に現れた場合、AWS管理キーで十分かつ効率的です:

シンプル運用

特別な暗号化要件がなく、AWSのデフォルト設定で十分な場合に適用されます。

コスト最適化

暗号化コストを最小限に抑えたい場合に選択され、月額料金が不要でAPI呼び出し料金のみで利用できます。

標準的要件

規制要件や特別なコンプライアンス要件がなく、標準的なデータ保護で十分な場合に適用されます。

サービス単体利用

単一のAWSサービスで暗号化を実装する場合や、サービス間でのキー統合が不要な場合に選択されます。

実践問題で確認

ここまでの理論を、実践的な練習問題で確認してみましょう。3軸判断法キーワード判別法を組み合わせて解答することで、確実に正解を導き出すことができます。

AWS認定セキュリティ - 専門知識

練習問題

あるヘルスケア企業が新しいアプリケーションをAWS上に移行しようとしています。このアプリケーションは患者情報を扱うため、保管中のデータすべてを暗号化する必要があります。現在のアーキテクチャには以下のコンポーネントが含まれています: - Auto Scalingグループ内のEC2インスタンス(EBSボリューム使用) - データベース用のAmazon Aurora MySQL DB クラスター - 患者記録の保存用のS3バケット - アプリケーションログと監査データ用のCloudWatch Logs セキュリティチームは、すべてのコンポーネントで保管中のデータの暗号化を実装する必要があります。また、暗号化キーの管理を一元化し、監査可能にする必要もあります。 このシナリオで、ヘルスケア企業がすべての保管データを暗号化するために実装すべき最も適切な方法はどれですか?

AWS認定セキュリティ - 専門知識

練習問題

ある金融サービス企業が、国際的な規制に準拠するための新しい暗号化戦略を設計しています。この企業は、既存のオンプレミスデータセンターで生成した暗号鍵を使用して、AWS上のAmazon S3に保存されるデータを暗号化する必要があります。規制当局からの要件には、以下の点が含まれています: - 暗号化鍵のライフサイクル全体を企業が完全に管理できること - 特定の日付で暗号化鍵を無効化できること - 緊急時に鍵を即座に削除できること - AWS上の暗号化プロセスに提供される前に、鍵の信頼性を検証できること これらの要件を満たすため、セキュリティアーキテクトはAWS Key Management Service (KMS) を使用する計画を立てています。 セキュリティアーキテクトはどのようにAWS KMSを設定すべきですか?

まとめ

3軸判断法(制御レベル×監査要件×コンプライアンス要件)をマスターすることで、どんな複雑な要件でも確実に最適なKMSキーを選択できます。

カスタマー管理キー選択キーワード

「規制要件」「一元管理」「詳細監査」「既存キー持込」「ヘルスケア」「金融業界」

AWS管理キー選択キーワード

「デフォルト暗号化」「基本的な暗号化」「コスト効率」「シンプル運用」「単一サービス」

規制業界(ヘルスケア、金融)や複数サービス統合が必要な場合は、カスタマー管理キーが適している傾向があります。一方、基本的な暗号化単一サービスでの利用であれば、AWS管理キーが適切な選択肢となる場合が多いです。

理解度チェック

制御レベル×監査要件×コンプライアンス要件の3軸判断法を使って、適切なKMSキータイプを選択できるか?

問題文のキーワードから、カスタマー管理キーとAWS管理キーのどちらが適切か瞬時に判断できるか?

規制業界での特別な要件と、それに対応するKMS設定パターンを理解できているか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する